Contenido

INtroduCCIóN LA INformátICA foreNSe, uNA dISCIPLINA téCNICo-LegAL 1

CAPítuLo 1 LA ComPutACIóN foreNSe, uNA PerSPeCtIvA de treS roLeS 13Introducción 13

1.1 Las evidencias tradicionales 141.2 El informático forense 141.3 La faceta del intruso 15

1.3.1 Los roles del intruso 161.4 El investigador 17

CAPítuLo 2 eL INtruSo y SuS téCNICAS 19Introducción 19

2.1 Breve historia de los hackers 202.2 La mente de los intrusos 26

2.2.1 Técnicas básicas de hacking 352.2.2 Técnicas avanzadas de hacking 43

2.3 Identificación de rastros de los ataques 49

PArA ProfuNdIzAr PráCtICA de ASALto A uNA SeSIóN tCP 59

1. Conceptos básicos 592 Estructura de un asalto a una sesión TCP 623 Herramientas para asaltar una sesión TCP 644. Herramienta Hunt 655. Práctica del asalto de una sesión TCP 666. Rastros del asalto a la sesión TCP 697. Corrección del asalto 70

CAPítuLo 3eL AdmINIStrAdor y LA INfrAeStruCturA de LA SegurIdAd INformátICA 75Introducción 75

3.1 Roles y responsabilidades del administrador de sistemas 763.2 Consideraciones de diseño de infraestructuras de seguridad 82

3.2.1 Inseguridad centralizada 833.2.2 Inseguridad decentralizada 843.2.3 Inseguridad en el Web 893.2.4 Inseguridad orientada a los servicios 923.2.5 Evolución de la inseguridad informática 94

3.3 Técnicas básicas para el diseño y la generación del rastro 963.4 Auditabilidad y trazabilidad 100

xi

AlfAomegA

ComputACión forense

3.4.1 Auditabilidad 1003.4.2 Trazabilidad 104

3.5 Consideraciones jurídicas y aspectos de los rastros en las plataformastecnológicas 107

3.5.1. Autenticidad 1083.5.2 Confiabilidad 1103.5.3 Suficiencia 1113.5.4 Conformidad con las leyes y las regulaciones

de la administración de la justicia 112

PArA ProfuNdIzArLoS IdS y LoS IPS: uNA ComPArACIóN PráCtICA 1171. IDS: Sistemas de detección de intrusos 117

1.1 Clasificación por la metodología empleada 1201.2 Clasificación por características intrínsecas del sistema 121

2. IPS: Sistemas de prevención de intrusos (Intrusion Prevention Systems) 1232.1 Los IPS inline 1252.2 Switches de nivel de aplicación 1262.3 Firewalls de aplicación / IDS 1272.4 Switches híbridos 1282.5 Aplicaciones engañosas (deceptive) 1292.6 Una comparación práctica entre un IDS y un IPS 129

2.6.1 Detección del ataque con el IDS 1322.6.2 Detección del ataque con el IPS 135

CAPítuLo 4 eL INveStIgAdor y LA CrImINALIStICA dIgItAL 141Introducción 141

4.1 Introducción a la criminalística digital 1434.2 Roles y responsabilidades del investigador forense en informática 1484.3 Modelos y procedimientos para adelantar investigaciones forenses en informática 153

4.3.1 Algunos modelos de investigaciones forenses en informática 1544.4 Credenciales para los investigadores forenses en informática 159

4.4.1 Iacis 1614.4.2 HTCN 1614.4.3 Iisfa 1634.4.4 Isfce 1634.4.5 SANS Institute 164

4.5 Informes de investigación y presentación de pruebas informáticas 1694.5.1 Teoría básica de la preparación de informes 1694.5.2 Consideraciones básicas sobre los informes periciales 1724.5.3 Estructura base de un informe pericial 1734.5.4 Estructura general 173

PArA ProfuNdIzArANáLISIS de dAtoS: uNA ProPueStA metodoLógICA y Su APLICACIóN eN the SLeuth y eNCASe 179

1. Metodología de examen y análisis de datos 1802. Introducción a Encase 1853. Introduccióna a Sleuth Kit y Autopsy 1914. Caso de prueba 197

xii

AlfAomegA

Jeimy J. CAno

CAPítuLo 5 retoS y rIeSgoS emergeNteS PArA LA ComPutACIóN foreNSe 217

5.1 La formación de especialistas en informática forense 2175.2 Confiabilidad de las herramientas forenses en informática 2225.3 Técnicas antiforenses y sus implicaciones para las investigaciones

actuales y futuras 2255.3.1 Destrucción de la evidencia 229

5.4 Cibercrimen y ciberterrorismo: amenazas estratégicas y tácticas de las organizaciones modernas 231

5.4.1 Ciberterrorismo 2315.4.2 Cibercrimen: viejos hábitos del mundo offline, nuevas armas en el mundo online 2345.4.3 Retos tecnológicos para los investigadores forenses en informática 2365.4.4 Archivos cifrados 2365.4.5 Esteganografía en video 2375.4.6 Rastros en ambientes virtuales 2385.4.7 Información almacenada electrónicamente en memoria volátil 2395.4.8 Análisis de sistemas en vivo 240

PArA ProfuNdIzArreCuPerACIóN de INformACIóN: NtfS VS. fAt 245

1. Sistemas de archivos 2461.1 NTFS 248

1.1.1 Estructura de NTFS 2491.1.2 Sector de arranque 2511.1.3 Tabla Maestra y Metadata 2551.1.4 Atributos de archivos 257

2. Borrado 2642.1 Borrar vs. Eliminar 2642.2 Metodologías para eliminar 264

3. Recuperación de información en FAT 2653.1 Borrado en FAT 2653.2 Eliminar en FAT 2663.3 Evidencias de borrado para recuperación 2683.4 Recuperar borrado en FAT 268

4. Recuperación de información en NTFS 2694.1 Recuperación automática de NTFS 2694.2 Borrado en NTFS 2704.3 Eliminar en NTFS 2704.4 Evidencias de borrado para recuperación 2704.5 Recuperar borrado en NTFS 2704.6 Recuperar el sector de arranque 271

5. Demostración 272

CAPítuLo 6 ANexoS ComPLemeNtArIoS 289Introducción 289

A6.1 Buenas prácticas en la administración de evidencia digital 292A6.2 Fuentes potenciales de evidencia digital 300A6.3 Evidencia digital en la práctica 303A6.4 Características para seleccionar un informático forense 304A6.5 Consejos y sugerencias para los abogados litigantes frente a las

pruebas informáticas 307A6.6 Consejos prácticos para sustentar un reporte técnico en una audiencia 310

xiii

AlfAomegA

ComputACión forense

PArA ProfuNdIzArCorreLACIóN y vISuALIzACIóN de bItáCorAS PArA eL ANáLISIS foreNSe 3131. Bitácoras y cómputo forense 3152. Correlación de bitácoras 316

2.1 Basados en probabilidades 3172.2 Basados en escenarios de ataques predefinidos 317

2.2.1 Sec 3172.3 Basados en prerrequisitos y consecuencias 3182.4 Basados en múltiples fuentes de información 320

3. Visualización de eventos 3213.1 Herramientas de visualización 322

3.1.1 RazorBack 3233.1.2 SnortSnarf y ACID 3233.1.3 SnortView 3243.1.4 Spinning cube of potential doom 3253.1.5 Starmine 3253.1.6 Visual 325

xiv